你的问题非常典型——仅通过Base64图片提交的方式完全无法防止照片伪造，必须结合前端实时流验证和后端活体检测来构建可靠的防御体系。下面是几个可行的方案，从简单到复杂，你可以根据需求组合使用：

1. 前端层面：确保图片来自活跃的摄像头流 #

前端可以先做一道基础验证，确认提交的图片确实来自当前激活的摄像头媒体流，而不是本地文件或伪造的Base64。

实现方式： #

使用react-webcam的stream属性，检查视频轨道的状态：

import Webcam from "react-webcam";
import { useRef } from "react";

const LoginComponent = () => {
  const webcamRef = useRef(null);

  const handleLogin = async () => {
    // 1. 验证摄像头流是否活跃
    const videoTracks = webcamRef.current.stream.getVideoTracks();
    if (!videoTracks.length || videoTracks[0].readyState !== "live") {
      alert("请使用实时摄像头进行拍摄！");
      return;
    }

    // 2. 获取实时截图（替代canvas.toDataURL）
    const faceUri = webcamRef.current.getScreenshot();

    // 3. 请求后端生成随机nonce，防止重放攻击
    const nonceRes = await fetch("/api/get-login-nonce", { method: "GET" });
    const nonce = await nonceRes.text();

    // 4. 提交请求，携带nonce
    const response = await fetch("/api/login", {
      method: "POST",
      headers: { "Content-Type": "application/json" },
      body: JSON.stringify({ face: faceUri, nonce: nonce }),
    });

    // 后续处理登录响应...
  };

  return (
    <div>
      <Webcam ref={webcamRef} screenshotFormat="image/jpeg" />
      <button onClick={handleLogin}>人脸登录</button>
    </div>
  );
};

为什么有效： #

• 只有当摄像头处于激活状态时，videoTrack的readyState才会是live，本地图片或伪造流无法通过这层验证。
• 随机nonce由后端生成并绑定用户会话，攻击者无法复用旧的Base64图片进行重放攻击。

2. 后端层面：强制活体检测（核心防御） #

前端验证只能防住初级攻击，真正的核心是后端对图片进行活体检测，判断提交的内容是真人而非照片/视频截图。

可选实现方案： #

方案A：基于动作的活体检测（低成本）

要求用户完成简单动作（如眨眼、转头），后端通过连续多张图片分析动作是否符合真人行为：

import face_recognition
import cv2
from scipy.spatial import distance

def eye_aspect_ratio(eye):
    # 计算眼部纵横比，判断是否眨眼
    A = distance.euclidean(eye[1], eye[5])
    B = distance.euclidean(eye[2], eye[4])
    C = distance.euclidean(eye[0], eye[3])
    return (A + B) / (2.0 * C)

def verify_liveness(face_images):
    # face_images是连续3-5张用户拍摄的图片
    ear_history = []
    for img in face_images:
        # 转换图片格式并提取面部关键点
        rgb_img = cv2.cvtColor(img, cv2.COLOR_BGR2RGB)
        landmarks_list = face_recognition.face_landmarks(rgb_img)
        if not landmarks_list:
            return False
        left_eye = landmarks_list[0]["left_eye"]
        right_eye = landmarks_list[0]["right_eye"]
        ear = (eye_aspect_ratio(left_eye) + eye_aspect_ratio(right_eye)) / 2.0
        ear_history.append(ear)
    
    # 检查是否有眨眼动作（EAR值突然下降超过30%）
    for i in range(1, len(ear_history)):
        if ear_history[i] < ear_history[i-1] * 0.7:
            return True
    return False

方案B：基于纹理/深度的活体检测（更高精度）

• 如果用户设备支持深度摄像头（如手机的TrueDepth），可以让前端同时提交深度数据，后端验证深度信息是否符合真人面部的3D结构。
• 使用开源库如insightface的活体检测模型，直接对单张图片进行活体判断（准确率较高，适合无交互场景）。

3. 进阶方案：结合WebAuthn增强安全性 #

如果你的场景对安全性要求极高，可以考虑将人脸识别与WebAuthn（Web身份验证API）结合：

• 用户首次注册时，将面部特征与设备的安全密钥绑定。
• 登录时，WebAuthn会验证请求来自用户的可信设备，同时结合人脸识别，从根源上防止伪造攻击。

总结建议 #

最可靠的组合方案是：

前端实时流验证 + 后端动作型活体检测 + 随机nonce防重放

如果预算允许，也可以接入成熟的第三方人脸识别服务，这些服务自带完善的活体检测机制，能大幅降低开发成本。

内容的提问来源于stack exchange，提问作者yihom78241